Устройство захвата пакетов - Packet capture appliance - Wikipedia

А устройство захвата пакетов это автономное устройство, которое выполняет захват пакетов. Устройства захвата пакетов могут быть развернуты в любом месте сети, однако чаще всего размещаются на входах в сеть (то есть при подключении к Интернету) и перед критически важным оборудованием, таким как серверы, содержащие конфиденциальную информацию.

Как правило, устройства захвата пакетов захватывают и записывают все сетевые пакеты полностью (как заголовок, так и полезную нагрузку), однако некоторые устройства могут быть настроены на захват подмножества сетевого трафика на основе определяемых пользователем фильтров. Для многих приложений, особенно сетевая криминалистика и реагирование на инциденты, очень важно провести полный захват пакета, хотя захват фильтрованного пакета может использоваться время от времени для конкретных, ограниченных целей сбора информации.[1]

Развертывание

Сетевые данные, которые захватывает устройство захвата пакетов, зависят от того, где и как оно установлено в сети. Есть два варианта развертывания устройств захвата пакетов в сети. Один из вариантов - подключить устройство к порту SPAN (зеркалирование портов ) на Сетевой коммутатор или роутер. Второй вариант - подключить устройство к сети так, чтобы сетевая активность по сетевому маршруту проходила через устройство (конфигурация аналогична сетевой кран, но информация захватывается и сохраняется устройством захвата пакетов, а не передается другому устройству).[2]

При подключении через порт SPAN устройство захвата пакетов может получать и записывать всю активность Ethernet / IP для всех портов коммутатора или маршрутизатора.[3]

При встроенном подключении устройства захвата пакетов захватывают только сетевой трафик, проходящий между двумя точками, то есть трафик, который проходит через кабель, к которому подключено устройство захвата пакетов.[2]

Существует два общих подхода к развертыванию устройств захвата пакетов: централизованный и децентрализованный.

Централизованный

При централизованном подходе к точке агрегации данных подключается одно высокопроизводительное высокоскоростное устройство захвата пакетов. Преимущество централизованного подхода заключается в том, что с помощью одного устройства вы получаете видимость всего сетевого трафика. Однако такой подход создает единую точку отказа, которая является очень привлекательной целью для хакеров; кроме того, потребуется реконструировать сеть для передачи трафика на устройство, и этот подход обычно требует больших затрат.[3]

Децентрализованный

При децентрализованном подходе вы размещаете несколько устройств в сети, начиная с точки (точек) входа и переходя вниз по течению к более глубоким сегментам сети, таким как рабочие группы. К преимуществам относятся: не требуется перенастройка сети; простота развертывания; несколько точек зрения для расследования инцидентов; масштабируемость; нет единой точки отказа - если выйдет из строя одна, у вас будут другие; в сочетании с электронной невидимостью такой подход практически исключает опасность несанкционированного доступа хакеров; бюджетный. Минусы: потенциально повышенное обслуживание нескольких устройств.[3]

В прошлом устройства захвата пакетов развертывались редко, часто только в точке входа в сеть. Устройства захвата пакетов теперь можно более эффективно развертывать в различных точках сети. При реагировании на инциденты возможность видеть сетевой поток данных с различных точек зрения необходима для сокращения времени до разрешения и сужения того, какие части сети в конечном итоге были затронуты. Если разместить устройства захвата пакетов в точке входа и перед каждой рабочей группой, проследить путь конкретной передачи вглубь сети будет проще и намного быстрее. Кроме того, устройства, размещенные перед рабочими группами, будут показывать передачи интрасети, которые устройство, расположенное в точке входа, не сможет перехватить.[2]

Емкость

Устройства для захвата пакетов имеют емкость от 500 ГБ до 192 ТБ и более. Только несколько организаций с чрезвычайно интенсивным использованием сети могли бы использовать верхние диапазоны мощностей. Большинству организаций будет достаточно емкостью от 1 до 4 ТБ.[4]

Хорошее практическое правило при выборе емкости - разрешать 1 ГБ в день для активных пользователей и до 1 ГБ в месяц для обычных пользователей. Для типичного офиса из 20 человек со средним уровнем использования 1 ТБ будет достаточно примерно на 1–4 года.[2]

Соотношение скорости соединения 100/0100 Мбит / с1 Гбит / с10 Гбит / с40 Гбит / с
Данные на диске / сек12,5 МБ125 МБ1,25 ГБ5 ГБ
Данные на диске / мин750 МБ7,5 ГБ75 ГБ300 ГБ
Данные на диске / час45 ГБ450 ГБ4,5 ТБ18 ТБ

Соотношение 100/0 означает, что односторонний трафик по реальным ссылкам может быть еще больше.

Функции

Фильтрованный и полный захват пакетов

Устройства полного захвата пакетов захватывают и записывают всю активность Ethernet / IP, тогда как устройства захвата фильтрованных пакетов захватывают только часть трафика на основе набора определяемых пользователем фильтров; Такие как айпи адрес, MAC-адрес или протокол. Если устройство захвата пакетов не используется для очень конкретной цели, охватываемой параметрами фильтра, обычно лучше использовать устройства полного захвата пакетов, иначе существует риск потери важных данных. В частности, при использовании захвата пакетов для целей сетевой криминалистики или кибербезопасности крайне важно захватить все, потому что любой пакет, не захваченный на месте, является пакетом, который ушел навсегда. Невозможно заранее узнать конкретные характеристики необходимых пакетов или передач, особенно в случае продвинутая постоянная угроза (APT). APT-атаки и другие методы взлома зависят от сетевых администраторов, которые не знают, как они работают, и, следовательно, не имеют решений для противодействия им.[2]

Интеллектуальный захват пакетов

Интеллектуальный захват пакетов использует машинное обучение для фильтрации и уменьшения объема захваченного сетевого трафика. Традиционный захват фильтрованных пакетов основан на правилах и политиках, которые настраиваются вручную для захвата всего потенциально вредоносного трафика. Интеллектуальный захват пакетов использует модели машинного обучения, включая функции из Аналитика киберугроз каналы, чтобы научным образом ориентироваться и захватывать наиболее опасный трафик. Методы машинного обучения для обнаружения сетевых вторжений [5][6], классификация трафика [7], и обнаружение аномалий [8] используются для выявления потенциально вредоносного трафика для сбора.

Зашифрованное и незашифрованное хранилище

Некоторые устройства для захвата пакетов зашифровать захваченные данные перед сохранением на диск, а другие - нет. Учитывая объем информации, которая передается по сети или интернет-соединению, и что по крайней мере часть ее может считаться конфиденциальной, шифрование является хорошей идеей для большинства ситуаций в качестве меры защиты захваченных данных. Шифрование также является важным элементом аутентификации данных для целей судебной экспертизы данных / сети.[2]

Постоянная скорость захвата в сравнении с максимальной скоростью захвата

Устойчивая скорость захвата - это скорость, с которой устройство захвата пакетов может захватывать и записывать пакеты без прерывания или ошибок в течение длительного периода времени. Это отличается от максимальной скорости захвата, которая является максимальной скоростью, с которой устройство захвата пакетов может захватывать и записывать пакеты. Пиковая скорость захвата может поддерживаться только в течение короткого периода времени, пока буферы устройства не заполнятся и оно не начнет терять пакеты. Многие устройства захвата пакетов имеют одинаковую пиковую скорость захвата 1 Гбит / с, но фактические устойчивые скорости значительно различаются от модели к модели.[2][9]

Постоянное и перезаписываемое хранилище

Устройство захвата пакетов с постоянным хранилищем идеально подходит для сетевой криминалистики и постоянного хранения записей, поскольку захваченные данные не могут быть перезаписаны, изменены или удалены. Единственным недостатком постоянного хранения является то, что со временем прибор наполняется и требует замены. Устройствами захвата пакетов с перезаписываемым хранилищем легче управлять, потому что, когда они достигают емкости, они начинают перезаписывать самые старые захваченные данные новыми, однако сетевые администраторы рискуют потерять важные данные захвата, когда они будут перезаписаны. В общем, устройства захвата пакетов с возможностью перезаписи полезны для простых целей мониторинга или тестирования, для которых постоянная запись не требуется. Постоянная, неперезаписываемая запись является обязательным условием для сбора сетевой криминалистической информации.[3]

GbE против 10 GbE

Большинство предприятий используют Гигабитный Ethernet скорость сетей и будет продолжать делать это в течение некоторого времени.[10] Если компания намеревается использовать одно централизованное устройство захвата пакетов для агрегирования всех сетевых данных, вероятно, потребуется использовать 10 GbE устройство захвата пакетов для обработки большого объема данных, поступающих к нему по всей сети. Более эффективный способ - использовать несколько встроенных устройств захвата пакетов со скоростью 1 Гбит / с, стратегически размещенных вокруг сети, чтобы не было необходимости перепроектировать гигабитная сеть соответствовать 10 GbE прибор.[11]

Безопасность данных

Поскольку устройства захвата пакетов захватывают и хранят большой объем данных о сетевой активности, включая файлы,[12] электронные письма и другие средства коммуникации сами по себе могут стать привлекательными целями для взлома. Устройство захвата пакетов, развернутое на любой период времени, должно включать функции безопасности для защиты записанных сетевых данных от доступа неавторизованных сторон. Если развертывание устройства захвата пакетов вызывает слишком много дополнительных опасений по поводу безопасности, затраты на его защиту могут перевесить преимущества. Лучшим подходом было бы, чтобы устройство захвата пакетов имело встроенные функции безопасности. Эти функции безопасности могут включать в себя шифрование или методы «скрытия» присутствия устройства в сети. Например, некоторые устройства захвата пакетов имеют функцию «электронной невидимости», при которой они имеют скрытый сетевой профиль, не требуя и не используя IP- или MAC-адреса.[3]

Хотя подключение устройства захвата пакетов через порт SPAN, по-видимому, делает его более безопасным, в конечном итоге устройство захвата пакетов все равно должно быть подключено к сети, чтобы обеспечить управление и получение данных. Хотя к устройству нельзя получить доступ через ссылку SPAN, он будет доступен через ссылку управления.[2]

Несмотря на преимущества, возможность управлять устройством захвата пакетов с удаленной машины представляет собой проблему безопасности, которая может сделать устройство уязвимым.[13] Устройства захвата пакетов, обеспечивающие удаленный доступ, должны иметь надежную систему для защиты от несанкционированного доступа. Один из способов добиться этого - включить ручное отключение, такое как переключатель или тумблер, который позволяет пользователю физически отключить удаленный доступ. Это простое решение очень эффективно, так как сомнительно, чтобы хакеру было легко получить физический доступ к устройству, чтобы щелкнуть выключателем.[2]

Последнее соображение - физическая безопасность. Все функции сетевой безопасности в мире станут спорными, если кто-то просто сможет украсть устройство захвата пакетов или сделать его копию и получить быстрый доступ к хранящимся на нем данным. Шифрование - один из лучших способов решить эту проблему, хотя некоторые устройства для захвата пакетов также имеют защищенные от взлома корпуса.[2]

Смотрите также

Рекомендации

  1. ^ Шерри Давидофф. "Сетевая криминалистика: отслеживание хакеров через киберпространство". Получено 2012-07-08.
  2. ^ а б c d е ж грамм час я j Вакка, Джон Р. (26 августа 2013 г.). Сетевая и системная безопасность. Эльзевир. ISBN  978-0-12-416695-0.
  3. ^ а б c d е Вакка, Джон Р. (2012-11-05). Справочник по компьютерной и информационной безопасности. Newnes. ISBN  978-0-12-394612-6.
  4. ^ «Емкость хранилища - устройства захвата пакетов IPCopper». www.ipcopper.com. Получено 2020-12-04.
  5. ^ "KDD Cup 1999: Обнаружение вторжений в компьютерные сети". SIGKDD. Получено 17 июн 2019.
  6. ^ Бучак, Анна; Гювен, Эрхан (26 октября 2015 г.). «Обзор методов интеллектуального анализа данных и машинного обучения для обнаружения вторжений в кибербезопасность». Обзоры и учебные пособия по коммуникациям IEEE. 18 (2): 1153–1176. Дои:10.1109 / COMST.2015.2494502. S2CID  206577177.
  7. ^ Ли, Вэй; Мур, Эндрю В. (24–26 октября 2007 г.). «Подход машинного обучения для эффективной классификации трафика». 2007 15-й Международный симпозиум по моделированию, анализу и моделированию компьютерных и телекоммуникационных систем: 310–317. CiteSeerX  10.1.1.219.6221. Дои:10.1109 / MASCOTS.2007.2. ISBN  978-1-4244-1853-4. S2CID  2037709.
  8. ^ Ахмед, Тарем; Орешкин, Борис; Коутс, Марк (10 апреля 2007 г.). «Подходы машинного обучения к обнаружению сетевых аномалий». Второй семинар по решению проблем компьютерных систем с помощью методов машинного обучения (SysML07). Получено 17 июн 2019.
  9. ^ "Анализатор пакетов - Инструмент сетевого анализа и сканирования | SolarWinds". www.solarwinds.com. Получено 2020-12-04.
  10. ^ "Gigabit Ethernet - будущее?". ComputerWeekly.com. Получено 2020-12-04.
  11. ^ "Анализатор пакетов - Инструмент сетевого анализа и сканирования | SolarWinds". www.solarwinds.com. Получено 2020-12-04.
  12. ^ Эрик Хьельмвик (2008). «Пассивный анализ сетевой безопасности с помощью NetworkMiner». Криминалистический фокус. Архивировано из оригинал на 2012-02-23. Получено 2012-07-08.
  13. ^ Майк Пилкингтон (2010). «Защита паролей администратора во время удаленного ответа и криминалистической экспертизы». SANS. Получено 2012-07-08.